數據安全發展趨勢與密碼保護技術研究

摘　要

隨著數據躍升為新型生產要素，數據安全的內涵也從數據本身安全、數據資源安全，發展到數據資產安全。通過對數據安全不同發展階段的安全需求和保障對象進行研究，基于密碼技術提出涵蓋數據本身安全、數據資源安全、數據資產安全 3 個層面的密碼保障技術體系，綜合分析該體系所采用的主流密碼技術，并提煉面向數據要素安全的密碼服務保障能力體系，從而為數據要素市場安全發展提供密碼技術應用指導，支撐數據要素作用的發揮。

隨著數據躍升為新型生產要素，數據安全的內涵在不斷拓展，從最初的保護數據載體上的信息安全，到對數據承載的個人權益、產業利益和國家利益進行安全保護，再發展到通過數據安全保護促進數據合法有序開發利用，護航國家數字經濟高質量發展 。數據安全保障的目標和對象，也隨著數據安全的發展分為 3 個層面：一是保障數據本身安全，針對數據本身，通過采取文件加密、數據庫加密等技術保護數據及數據承載信息的安全。二是保障數據資源安全，在數據共享、數據利用等流程中保障數據資源采集、傳輸、存儲、共享、利用、銷毀等生命周期安全可控。三是保障數據資產安全，即保護數據資產處理所涉及的網絡、存儲計算、開發交易等基礎設施安全，防止數據基礎設施上承載的數據資產丟失、泄露、被篡改，保障數據運營、交易業務正常運行，維護數據要素市場安全。

1

數據安全發展的 3 個階段

1.1　數據本身安全階段

以電子政務、電子商務、電子社區等業務應用的信息化發展為標志，承載業務信息的數據越來越多，數據本身的安全也成為信息安全關注的重點。數據本身安全階段主要關注承載業務信息的數據本身安全，主要保障數據在傳輸、存儲過程中的安全。保障對象主要為電子文檔、數據庫等數據。

1.2　數據資源安全階段

以云計算和大數據等技術的發展為標志。如今，數據呈現大量匯聚、共享趨勢，數據要素也從無序、散亂的非結構化數據轉變為可分析、利用的結構化、半結構化的有序數據，逐漸實現數據的資源化。數據資源安全階段主要關注數據資源的安全治理方面，需要保障大量數據匯聚、數據共享利用等場景中數據資源采集、傳輸、存儲、共享、使用、銷毀全生命周期安全，保障對象也由電子文件、數據庫等傳統數據發展到具有數據量大（Volume）、數據種類多（Variety）、數據價值密度低（Value）、數據產生和處理速度快（Velocity）特征的大數據方面 。

1.3　數據資產安全階段

以數據成為新型生產要素為標志。由中共中央、國務院對外發布的《關于構建數據基礎制度更好發揮數據要素作用的意見》等政策，從國家層面為數據產權、流通交易、收益分配、安全治理等方面構建了數據基礎制度，提出政策舉措。數據要素的運營、交易需求愈發迫切。數據也完成由數據資源到數據資產的轉變，數據安全目標開始聚焦到數據資產安全方面。數據資產安全階段主要關注數據資產化后數據要素的開發利用、運營交易的安全性。保障對象主要為數據要素運營的物理網絡設施、存儲計算設施和數據應用設施等數據基礎設施。

2

數據安全密碼技術

密碼技術是保障網絡安全最有效、最可靠、最經濟的關鍵核心技術。本文針對數據安全目標和保障對象，圍繞數據本身安全、數據資源安全、數據資產安全 3 個層面，綜合分析信息安全行業常用密碼應用技術，設計了以密碼為核心的數據安全技術體系。數據安全密碼技術體系如圖 1 所示。

圖 1　數據安全密碼技術體系

2.1　數據本身安全密碼技術

目 前， 在 行 業 應 用 領 域， 面 向 數 據 本 身安全的主流密碼技術包括文檔管控技術、文件存儲加密技術、數據庫加密技術和數據脫敏技術。

2.1.1　文檔管控技術

文檔管控技術面向非結構化電子文件數據，基于密碼技術提供集中式電子文檔加密存儲、身份鑒權認證、文件授權訪問控制、受控流轉等服務，用于解決電子文檔的安全管理控制問題。

2.1.2　文件存儲加密

利 用 磁 盤 加 密、 文 件 系 統 加 密 等 技 術，實現對本地存儲文件數據的加密保護。常見的磁盤加密技術包括 Linux 系統的 dm-crypt、Windows 系統的 BitLocker 等。常見文件系統加密技術包括基于用戶空間文件系統（Filesystem in Userspace，FUSE）的 EncFS、Cryptomator 等。

2.1.3　數據庫加密

該技術主要采用透明加解密、列加密等技術方式，對數據庫中存儲的明文數據進行加密存儲、訪問權限控制等。通過對數據庫進行加密，能夠有效地防止敏感數據被外部非法入侵竊取、內部高權限用戶竊取、合法用戶違規訪問而引發的安全風險。數據庫加密技術根據加密位置的不同，可以分為應用層加密、數據庫代理加密、數據庫加密、數據庫文件系統加密、存儲磁盤加密等不同技術路線。

2.1.4　數據脫敏

數據脫敏技術是指采取泛化、隨機、擾亂、加密等技術對敏感數據進行處理，消除原始數據中的敏感信息，并保留目標業務所需的數據特征或內容的數據處理過程。數據脫敏主要應用于數據分析、測試開發、數據共享等場景。數據脫敏技術根據數據脫敏的實時性和應用場景的不同，可分為動態脫敏技術和靜態脫敏技術。基于密碼的數據脫敏主要包括保留格式加密、對稱算法加密等技術。

2.2　數據資源安全密碼技術

數據資源安全密碼技術是指基于數據資源安全分類分級和密碼標識，圍繞數據采集、數據傳輸、數據存儲、數據共享、數據利用、數據銷毀等環節建立的數據資源生命周期密碼保護技術。主要包括數據安全分類分級、數據安全標識、數據生命周期密碼保障等技術。

2.2.1　數據安全分類分級技術

數據安全分類分級技術是指綜合運用分類分級策略生成與數據分類分級知識庫建立，以及數據特征識別、知識圖譜分析等技術，智能化識別數據資源的類型和安全級別，用于對敏感數據按照安全類別、級別分級采取不同強度、粒度的密碼安全措施，進行分級管控。

2.2.2　數據安全標識技術

數據安全標識技術是指對敏感數據添加標記信息，唯一標識數據身份，并綁定數據類別、級別等安全屬性，是數據安全分級管控的關鍵。數據安全標識一般分為綁定式和分離式兩種。數據安全標識作為數據安全治理的基礎依據，需要基于簽名、雜湊算法的消息驗證碼（Hash based Message Authentication Code，HMAC）等密碼技術建立數據標識與數據本身之間的強綁定關系，防止標識篡改和仿冒。

2.2.3　數據生命周期密碼保障技術

（1）數據采集安全。主要基于密碼的采集源接入認證和數據完整性校驗技術，保障采集源的安全可行，并防止數據在采集過程中被非法篡改。

（2）數據傳輸安全。通常采用虛擬專用網絡（Virtual Private Network，VPN） 技 術 保 護 數據傳輸的機密性和完整性。包括安全網絡協議層 虛 擬 專 用 網（Internet Protocol Security Virtual Private Network，IPSec VPN） 和 安 全 套 接 字 層虛 擬 專 用 網（Secure Socket Layer Virtual Private Network，SSL VPN）技術。其中，IPSec VPN 工作在網絡層，通過構建加密隧道保護網絡到網絡之間通信的機密性和完整性。SSL VPN 工作在傳輸控制協議 / 用戶數據包協議（Transmission Control Protocol/ User Datagram Protocol，TCP/UDP）層，構建加密會話，保護終端到應用服務器之間通信的機密性和完整性。

（3）數據存儲安全。數據資源存儲加密技術通常包括大數據庫加密技術和分布式系統加密技術。其中，大數據庫加密技術通常包括MongoDB TDE 加密技術，HIVE、HBase 等大數據庫網關加密。分布式系統加密技術通常包括實現 Hadoop 透明加密的 Encryption Zone 技術，面向簡便存儲服務（Simple Storage Service，S3）對象加密、通用互聯網文件系統（Common Internet File System，CIFS）、 網 絡 文 件 系 統（Network File System，NFS）文件加密的加密網關技術。

（4）數據共享安全。針對數據共享安全保障，通常可采用安全多方計算、聯邦計算等技術。

（5）數據利用安全。針對數據資源安全利用，通常可采用同態加密技術，以及基于可信硬件的機密計算技術。

（6）數據銷毀安全。主要關注數據銷毀的身份鑒別和行為抗抵賴，可采用公鑰基礎設施（Public Key Infrastructure，PKI）等密碼技術，基于數字證書實現數據銷毀操作的身份鑒別、操作行為抗抵賴簽名。

2.3　數據資產安全密碼技術

數據資產安全密碼技術主要包括網絡通信密碼保障技術、存儲以及計算基礎設施密碼保障技術和數據應用基礎設施密碼保障技術，主要目標是保障數據資產開發利用、運營交易的基礎設施安全。

2.3.1　網絡通信密碼保障技術

可按照通信雙方是否在同一個物理網絡內，分為網絡通信加密技術、跨網跨域數據交換技術。

（1）網絡通信加密。主要基于 IPSec VPN等網絡通信加密措施構建基礎的安全通信網絡，實現數據交易雙方或多方的通信安全。

（2）跨網跨域交換。主要解決跨兩個或多個不同等級物理網絡之間的數據安全交換問題。通常基于物理隔離信息單向導入設備、物理隔離與信息交換設備等實現跨網數據交換過程中的協議剝離，并在交換過程中融合數據標識，實現跨網跨域交換過程中的標識檢測，防止數據違規交換。

2.3.2　存儲和計算基礎設施密碼保障技術

主要為需要進行數據要素存儲和計算的基礎設施提供密碼保障，通常采用云密碼服務技術、網絡存儲加密技術等。

（1）云密碼服務。根據存儲和計算基礎設施不同層次的密碼保障需求，可以把云密碼服務技術分為云密碼資源服務、云密碼功能服務、云密碼業務服務 3 個層次 。

①云密碼資源服務（Cryptography Resource as a Service，CRaaS）。以密碼基礎設施、密碼設備集群等為基礎，提供包括密碼算法服務、證書管理服務、密鑰管理服務、隨機數服務等基本的彈性化密碼服務功能。

②云密碼功能服務（Cryptography Function as a Service，CFaaS）。基于云密碼資源服務，將面向應用場景的密碼功能集合在一起，打包成易部署、易使用的虛擬機模板、微服務模板，在云中以虛擬機實例、微服務實例、軟件中間件的形態對存儲和計算的設施提供密碼保障。

③云密碼業務服務（Cryptography Business as a Service，CBaaS）。實現密碼技術和應用業務的內生融合，將密碼技術與應用系統數據處理流程進行融合，形成一體的密碼內生安全系統，提供密碼應用即服務。

（2）網絡存儲加密技術。面向數據中心大規模網絡存儲場景提供加密保護。當前，數據中心大規模存儲系統通常采用網絡通道存儲區域 網 絡（Internet Protocol Storage Area Network，IP SAN）、光纖通道存儲區域網絡（Fibre Channel Storage Area Network，FC SAN）、網絡附加存儲（Network Attached Storage，NAS） 等 集 中 式 數據存儲系統。針對這些大規模數據存儲系統的安全性，可采用存儲加密網關技術，在存儲網絡層面提供網關式加密保護，實現對大規模存儲系統的彈性化、透明化數據加密保護。

2.3.3　數據應用基礎設施密碼保障技術

主要為需要進行數據交易、數據開發、數據運營等數據應用的基礎設施提供密碼保障，通常采用隱私計算技術、零信任技術等。

（1）隱私計算技術。面向數據利用方和數據持有方分離的場景，以分布式區塊鏈技術為支撐，綜合運用聯邦計算、安全多方計算、同態加密等技術構建數據不出域情況下的“可用不可見”安全分析計算體系，滿足敏感數據“存算分離”場景下的數據計算需求。

（2）零信任技術。零信任技術一般由零信任客戶端、零信任控制中心和零信任分析中心構成。零信任技術要求無論位于網絡內部還是外部的所有用戶，都需要經過身份驗證、授權和持續驗證，然后才能訪問應用程序和敏感數據。零信任技術能夠有效應對傳統網絡安全機制缺乏內部流量檢查、部署缺乏靈活性，以及單點故障帶來的風險和威脅等問題。并且，零信任技術通過縮小信任邊界、持續動態評估等關鍵機制實現了數據要素的縱深防護，有效支撐數據資產的安全運營、安全交易 。

2.4　密碼基礎技術

密碼基礎技術主要包括密碼算法、密碼協議等密碼基礎理論，以及密碼管理、密碼認證等密碼管理基礎設施。其中，密碼算法方面，除對稱、非對稱、雜湊算法外，通常還包括行業前沿和熱點研究的同態加密、差分隱私等新型密碼算法。密碼協議方面，除傳統的身份認證、密鑰協商、傳輸加密協議外，通常還涉及不經意傳輸、安全多方計算、聯邦計算等隱私計算協議。密碼管理方面，主要包括密鑰的生成、存儲、分發、使用、銷毀等密鑰生命周期管理技術。密碼認證方面，主要包括公鑰基礎設施等電子認證技術。

3

數據安全密碼保障能力

基于數據安全密碼技術體系內多種密碼技術的綜合應用，圍繞數據要素市場安全保障，可打造涵蓋數據本身安全、數據資源安全、數據資產安全的多層次、體系化密碼服務，構建密碼保障能力體系，為數據要素市場的健康發展保駕護航。數據安全密碼保障能力體系如圖 2所示。

圖 2　數據安全密碼保障能力體系

3.1　數據本身安全密碼服務能力

數據本身安全密碼服務方面，基于密碼技術可圍繞數據庫、電子文件等數據本身提供安全防護能力。提供包括文檔加密、數據庫加密、數據脫敏（保留格式加密）、傳輸加密等密碼服務。

3.2　數據資源安全密碼服務能力

數據資源安全密碼服務方面，基于密碼技術可圍繞數據采集、數據傳輸、數據存儲、數據共享、數據利用、數據銷毀等數據資源全生命周期提供安全防護能力。提供包括認證與訪問控制、分類分級密碼標識、數據加密保護、跨網跨域安全共享、隱私計算利用、數據確權溯源等密碼服務。

3.3　數據資產安全密碼服務能力

數據資產安全密碼服務方面，基于密碼技術可圍繞數據要素分析利用、數據交易等數據運營場景構建可靠網絡通信基礎設施、可用存儲計算基礎設施、可信數據應用基礎設施，在數據基礎設施層面提供密碼保障。其中，可靠網絡通信基礎設施方面，通過在通信網絡基礎上提供網絡通信加密服務，保障數據要素通信安全。可用存儲計算基礎設施方面，基于云計算和大數據密碼保障技術可為基礎設施即服務（Infrastructure as a Service，IaaS）、平臺即服務（Platform as a Service，PaaS）、軟件即服務（Software as a Service，SaaS）等提供平臺層面的云計算密碼服務、大數據平臺密碼服務，保障存儲計算基礎設施安全。可信數據應用基礎設施方面，基于區塊鏈、隱私計算等密碼技術構建可信數據應用基礎設施，為數據要素確權交易、數據運營等提供存證登記、隱私計算等密碼服務，保障數據要素應用和運營安全。

3.4　密碼基礎支撐能力

密碼基礎支撐方面，提供密碼運算服務和密碼管理支撐能力。主要包括提供密碼運算服務的密碼技術、密碼產品，以及提供統一密碼資源和密鑰管理、數字證書管理的密碼管理和密碼認證基礎設施。

4

結　語

隨著數字經濟的發展，針對數據的應用從最早的非結構化數據到可供分析利用的數據資源，再到具備經濟價值可運營交易的數據資產。數據要素的概念不斷延伸，所發揮的作用也越來越大，數據安全的內涵在不斷拓展，數據安全保障的對象也在不斷延伸。本文設計了以密碼為核心的數據安全技術體系，并提出基于密碼服務的數據安全密碼保障能力體系，能夠為數據要素安全保障系統設計提供密碼技術應用指導。本研究主要面向密碼技術在數據安全方面的應用開展，對防火墻、數據防泄漏等傳統安全技術的應用沒有覆蓋，在實際應用中需要綜合運用密碼和安全兩個方面的技術為數據要素安全提供保障，健全防護體系，護航數據要素市場健康發展。